1

Тема: Небезпечна уразливість протоколу BitTorrent

Згідно з принципом роботи протоколу BitTorrent
https://uk.wikipedia.org/wiki/BitTorrent_(протокол)
клієнти з'єднуються один з одним для обміну сегментами файлів. Сегменти діляться на блоки розміром від 4 до 4096 кілобайт, що цілком достатньо для розміщення тіла завантажувача комп'ютерного вірусу, наприклад, типу Polymorphic Rootkit. Одночасно можуть проситися блоки з різних сегментів, а деякі клієнти
https://ru.wikipedia.org/wiki/Сравнение … t-трекеров
підтримують скачування блоків одного сегменту з різних точок. При отриманні файлу на зараженому комп'ютері може статися його модифікація шляхом впровадження кодів вірусного завантажувача без зміни контрольних сум сегментів і блоків, а клієнт мимоволі почне видавати фрагменти зараженого файлу і по суті стане комп'ютерним терористом.
Наведу конкретний приклад з особистого досвіду.
Хвалений виробником нетбук мого знайомого ASUS EEE PC 1215B
https://www.asus.com/ua/Laptops/Eee_PC_1215B/
неприємно гальмував з моменту купівлі, оскільки мав процесор частотою 1,4 ГГц для роботи в ОС Windows 7 Home, що поставляється виробником за умовчанням. Тому мене попросили встановити туди ліцензійну ОС Windows XP Pro SP3. Щоб розв'язати проблему з драйверами, я вийшов на сайт розробника ПЗ підбору застарілих драйверів для нового обладнання. Скачування програми і бази драйверів з сайту розробника я за інерцією зробив протоколом BitTorrent. Перевірка ПЗ антивірусом 360 Total Security виявила вірус типу Trojan у файлі ati2xxx.exe резидентної програми конфігурації материнської плати. Щоб не випробовувати долю чужого комп'ютера і не отримати геморой у своїй голові, я знову викачав ПЗ з сайту розробника, але вже по протоколу HTTP. Перевірка пакету антивірусом 360 Total Security пройшла без реакції на віруси. Після цього я перемістив ПЗ на нетбук, запустив програму вибору і установки драйверів. Усі драйвера було підібрано і успішно встановлено. Але з метою підвищення рівня безпеки файл ati2xxx.exe я видалив з автозавантаження за допомогою утиліти AutoRuns з комплекту Sysinternals Suite від Microsoft
https://docs.microsoft.com/uk-ua/sysinternals/

2

Re: Небезпечна уразливість протоколу BitTorrent

Виглядає приблизно так: "паски безпеки насправді небезпечні! Я обкрутив пасок навколо шиї і ганяв по звалищу зі швидкістю 200км/г, і мало не задушився, ще й машину подряпав!"

1. Підтримка Windows XP офіційно припинена. Жодних оновлень для усунення нових виявлених вразливостей ця система не має. Відповідно, говорити про безпеку із використанням Windows XP - взагалі ні про що. Тим більше неможливо ліцензувати встановлення цієї системи на новий комп'ютер, а, відповідно, ваші слова про "ліцензійну" ОС - брехня, система неліцензійна.
2. "я вийшов на сайт розробника ПЗ підбору застарілих драйверів" - це перекладається як "заліз на звалище". Ну, витягли зі звалища брудну річ - а чого ви очікували? Ну і вказуйте, який саме сайт, бо інакше ми не зможемо повторити ваші дії і переконатися, що ви не брехали.
3. "Антивірус" 360 Total Security не є антивірусом, це китайське лайно, що при спеціальних налаштуваннях може використовувати безкоштовні вірусні бази інших реальних розробників антивірусів. Ви не сказали, що встановили ці налаштування; відтак, можливо, ніякої реальної перевірки не відбулося, а 360 Total Security просто помітив, що ви щось скачали торентом і дав загальне повідомлення про можливу загрозу від файлів з невідомих джерел, яку ви прийняли за виялення вірусу. З іншого боку, можливо, що після першого запуску вірус вжив заходів для свого невиявлення, і тому другий запуск вже не показав результатів.
Сучасний прийнятний спосіб перевірки на віруси - завантаження файлу на VirusTotal. Завантажте обидва файли ati2xxx туди і дайте сюди посилання, щоб ми їх могли порівняти.
4. Про яке "підвищення рівня безпеки" йде мова після запуску "програми вибору і установки драйверів", назви якої ви взагалі не згадали?
5. Побіжний пошук в мережі по назві файлу ati2xxx.exe показує, що це - вірус, і швидше за все він просто заблокував можливість перевірки себе тим китайським лайном. Очевидно, що простим видаленням з автозапуску ви його не позбудетеся.

3

Re: Небезпечна уразливість протоколу BitTorrent

Smolenkov_BN написав:

При отриманні файлу на зараженому комп'ютері може статися його модифікація шляхом впровадження кодів вірусного завантажувача без зміни контрольних сум сегментів і блоків

Маєте на увазі атаку на основі генерації колізій у протоколі SHA-1? Ви можете підтвердити це на якомусь з клиентів?
Тільки під "підтвердити" я маю на увазі реальне підтвердження, а не отой прояв сенільної деменції нижче.

Подякували: ReAl1

4 Востаннє редагувалося Smolenkov_BN (23.09.2018 09:19:10)

Re: Небезпечна уразливість протоколу BitTorrent

varkon написав:

Маєте на увазі атаку на основі генерації колізій у протоколі SHA-1? Ви можете підтвердити це на якомусь з клиентів? Тільки під "підтвердити" я маю на увазі реальне підтвердження, а не отой прояв сенільної деменції нижче.

Установку драйверів я робив кілька років тому. Охочі можуть повторити мої дії, хоча вірогідність попадання вірусу на комп'ютер користувача при скачуванні по протоколу BitTorrent значно менше 100 %.

1. Повна назва продукту "DriverPack Solution 12.3 ISO Full R255 x86/x64".
2. Веблинк на завантажувальний файл протоколу BitTorrent:
- старий
http://drp.su/download/DRPSu12.3-Final.torrent
- новий
http://download.drp.su/z_backup/DRPSu12.3-Final.torrent
3. Веблинк на завантаження файлу по протоколу HTTP:
- старий
http://drp.su/download/DriverPack_12.3.iso
- новий сьогодні відсутній, замість нього
http://download.drp.su/builds/DriverPac … -18083.iso
та
http://download.drp.su/DriverPack17.torrent

Сьогодні усе стало значно простіше:
- вибирається тип і марка комп'ютера
https://drp.su/en/laptops/asus
- завантажується і запускається веб установник.
Ось тільки з відомих причин подібна методика недопустима для виробничих комп'ютерів.

5

Re: Небезпечна уразливість протоколу BitTorrent

koala написав:

Виглядає приблизно так: "паски безпеки насправді небезпечні! Я обкрутив пасок навколо шиї і ганяв по звалищу зі швидкістю 200км/г, і мало не задушився, ще й машину подряпав!"
1. Підтримка Windows XP офіційно припинена. Жодних оновлень для усунення нових виявлених вразливостей ця система не має. Відповідно, говорити про безпеку із використанням Windows XP - взагалі ні про що. Тим більше неможливо ліцензувати встановлення цієї системи на новий комп'ютер, а, відповідно, ваші слова про "ліцензійну" ОС - брехня, система неліцензійна.
2. "я вийшов на сайт розробника ПЗ підбору застарілих драйверів" - це перекладається як "заліз на звалище". Ну, витягли зі звалища брудну річ - а чого ви очікували? Ну і вказуйте, який саме сайт, бо інакше ми не зможемо повторити ваші дії і переконатися, що ви не брехали.
3. "Антивірус" 360 Total Security не є антивірусом, це китайське лайно, що при спеціальних налаштуваннях може використовувати безкоштовні вірусні бази інших реальних розробників антивірусів. Ви не сказали, що встановили ці налаштування; відтак, можливо, ніякої реальної перевірки не відбулося, а 360 Total Security просто помітив, що ви щось скачали торентом і дав загальне повідомлення про можливу загрозу від файлів з невідомих джерел, яку ви прийняли за виялення вірусу. З іншого боку, можливо, що після першого запуску вірус вжив заходів для свого невиявлення, і тому другий запуск вже не показав результатів.
Сучасний прийнятний спосіб перевірки на віруси - завантаження файлу на VirusTotal. Завантажте обидва файли ati2xxx туди і дайте сюди посилання, щоб ми їх могли порівняти.
4. Про яке "підвищення рівня безпеки" йде мова після запуску "програми вибору і установки драйверів", назви якої ви взагалі не згадали?
5. Побіжний пошук в мережі по назві файлу ati2xxx.exe показує, що це - вірус, і швидше за все він просто заблокував можливість перевірки себе тим китайським лайном. Очевидно, що простим видаленням з автозапуску ви його не позбудетеся.

Ви так солодко написали і думаєте, що усі також солодко читатимуть? Думається, що не усі. Особливо ті, кому йшло завантаження із зараженых вірусами типу Polymorphic Rootkit комп'ютерів. А тип і версія операційної системи ніякої ролі не грають, якщо пир-комп'ютери заражені вірусами.

6

Re: Небезпечна уразливість протоколу BitTorrent

Заради цікавості завантажив цей ваш DriverPack (online версію, мені якось нецікаво 18ГБ для цього качати) і залив на VirusTotal. Результат: https://www.virustotal.com/#/file/89cc5 … /detection

посилання для завантаження: http://download.drp.su/17-online/Driver … 694024.exe

Подякували: leofun01, FakiNyan, ostap34PHP, ReAl, varkon5

7

Re: Небезпечна уразливість протоколу BitTorrent

koala написав:

завантажив і залив на VirusTotal. Результат

Отак взяв і спалив всю контору. :D

Подякували: ostap34PHP1

8

Re: Небезпечна уразливість протоколу BitTorrent

Smolenkov_BN написав:


Охочі можуть повторити мої дії,

http://drp.su/
http://download.drp.su

Вибачте, не втримався:

Ви взяли велику ложку, пішли у вбиральню інфекційного відділення і добряче нежерлися гівна.
Тепер у своїй діареї звинувачуєте форму ложки і довжину її ручки.

Щось (знову не можу втриматися) триндіти про безпеку, а по драйвери лазити на інтернет-звалища?

Подякували: leofun01, varkon2

9

Re: Небезпечна уразливість протоколу BitTorrent

koala написав:

Заради цікавості завантажив цей ваш DriverPack (online версію, мені якось нецікаво 18ГБ для цього качати) і залив на VirusTotal. Результат: https://www.virustotal.com/#/file/89cc5 … /detection

посилання для завантаження: http://download.drp.su/17-online/Driver … 694024.exe

Схоже на невалідні спрацювання. Програма завантажує з інету та встановлює драйвера - не дивно що деякі антівірі вказали на небезпеку. Але всерівно я це гівно б на компьютер не наважився б ставити. Це надо бути повним ідіотом.

Подякували: Torbins, koala, ReAl, leofun014

10

Re: Небезпечна уразливість протоколу BitTorrent

varkon написав:

Схоже на невалідні спрацювання. Програма завантажує з інету та встановлює драйвера - не дивно що деякі антівірі вказали на небезпеку.

Запросто. І рівночасно та незалежно з цим там міг бути якийсь новий вірус, якого вони всі не побачили.

varkon написав:

Але всерівно я це гівно б на компьютер не наважився б ставити. Це надо бути повним ідіотом.

А це безумовно. Проста гігієна — не лазити по помийках, якщо це не твій професійний обов'язок їх досліджувати (але тоді ти підготовлений і маєш якісь засоби захисту, а не ойкаєш у свинячий голос).

Подякували: varkon, leofun012

11

Re: Небезпечна уразливість протоколу BitTorrent

ReAl написав:

Вибачте, не втримався:
Ви взяли велику ложку, пішли у вбиральню інфекційного відділення і добряче нежерлися гівна. Тепер у своїй діареї звинувачуєте форму ложки і довжину її ручки. Щось (знову не можу втриматися) триндіти про безпеку, а по драйвери лазити на інтернет-звалища?

varkon написав:

Програма завантажує з інету та встановлює драйвера - не дивно що деякі антівірі вказали на небезпеку. Але всерівно я це гівно б на компьютер не наважився б ставити. Це надо бути повним ідіотом.

Золоті слова. Підтримую Вас на усі 100 відсотків, якби не одне "але": бувають випадки, коли не можна відмовити впливовій людині навіть з урахуванням його попередження про можливі загрози подібних інсталяцій.

12

Re: Небезпечна уразливість протоколу BitTorrent

У кожної людини є напрацювання, якими, м'яко кажучи, важко пишатися. Це нормально.
Але далеко не кожна людина буде виставляти такі напрацювання як приклад своєї роботи і чужих недоробок.

Подякували: leofun011

13

Re: Небезпечна уразливість протоколу BitTorrent

Smolenkov_BN написав:

якби не одне "але": бувають випадки, коли не можна відмовити впливовій людині навіть з урахуванням його попередження про можливі загрози подібних інсталяцій.

дочого тут "впливова людина", я чесно кажучи так й не зрозумів.
Щоб знайти руками потрібні драйвери на сайтах виробників - це займає приблизно до години. Залежить від моделі звичайно. Щоб завантажити та встановити це г..но - приблизно стільки ж. Питання - навіщо?

Подякували: leofun011

14

Re: Небезпечна уразливість протоколу BitTorrent

varkon написав:
Smolenkov_BN написав:

якби не одне "але": бувають випадки, коли не можна відмовити впливовій людині навіть з урахуванням його попередження про можливі загрози подібних інсталяцій.

дочого тут "впливова людина", я чесно кажучи так й не зрозумів.
Щоб знайти руками потрібні драйвери на сайтах виробників - це займає приблизно до години. Залежить від моделі звичайно. Щоб завантажити та встановити це г..но - приблизно стільки ж. Питання - навіщо?

Трапляються замовники, яким "справжні фахівці" сказали робити саме так, а не інакше. В таких випадках, я вважаю, обов'язок виконавця - попередити про потенційні проблеми, але зробити так, як хоче замовник.

Подякували: FakiNyan, leofun012

15

Re: Небезпечна уразливість протоколу BitTorrent

koala написав:

В таких випадках, я вважаю, обов'язок виконавця - попередити про потенційні проблеми, але зробити так, як хоче замовник.

Тобто спочатку треба було пошукати драйвери у виробника.
Якщо пристрій настільки застарів, що драйверів на сайті у виробника нема, то попередити замовника, що драйвери доведеться брати з помийок і вкрай імовірно, що вони будуть з вірусами та/або троянами, імовірно, з новими, які ще не беруться антивірусами.

«Впливовій людині» така небезпека має переважити бажання встановити таку систему.

Лише якщо вона тричі наполягатиме, тоді таке зробити, але розповідати по це — хіба як про баги у впливових людях, а не уразливість біт-торента, бо з помийки яким захищеном протоколом не тягни, ймовірність зараження висока.

Подякували: leofun011

16

Re: Небезпечна уразливість протоколу BitTorrent

koala написав:
varkon написав:
Smolenkov_BN написав:

якби не одне "але": бувають випадки, коли не можна відмовити впливовій людині навіть з урахуванням його попередження про можливі загрози подібних інсталяцій.

дочого тут "впливова людина", я чесно кажучи так й не зрозумів.
Щоб знайти руками потрібні драйвери на сайтах виробників - це займає приблизно до години. Залежить від моделі звичайно. Щоб завантажити та встановити це г..но - приблизно стільки ж. Питання - навіщо?

Трапляються замовники, яким "справжні фахівці" сказали робити саме так, а не інакше. В таких випадках, я вважаю, обов'язок виконавця - попередити про потенційні проблеми, але зробити так, як хоче замовник.

Ну я пропоную або не втручатися в мою роботу, або запрошувати "справжніх фахівців", а мене не турбувати. Це спрацьовує, звичайно за умови що задача вирішується так як домовлялися.

Подякували: leofun011

17

Re: Небезпечна уразливість протоколу BitTorrent

varkon написав:

Ну я пропоную або не втручатися в мою роботу, або запрошувати "справжніх фахівців", а мене не турбувати. Це спрацьовує, звичайно за умови що задача вирішується так як домовлялися.

Ну, або втрачаєте клієнта. Ситуації бувають різні.

Подякували: FakiNyan1

18

Re: Небезпечна уразливість протоколу BitTorrent

ReAl написав:
koala написав:

В таких випадках, я вважаю, обов'язок виконавця - попередити про потенційні проблеми, але зробити так, як хоче замовник.

Тобто спочатку треба було пошукати драйвери у виробника.
Якщо пристрій настільки застарів, що драйверів на сайті у виробника нема...

як покузує практика,  в таких випадках драйвер пак не допоможе теж в більшості випадків. Іноді допомогає погратися з сігнатурою та інфами від схожих пристроїв, на які є для цїєї ОС.

19

Re: Небезпечна уразливість протоколу BitTorrent

koala написав:
varkon написав:

Ну я пропоную або не втручатися в мою роботу, або запрошувати "справжніх фахівців", а мене не турбувати. Це спрацьовує, звичайно за умови що задача вирішується так як домовлялися.

Ну, або втрачаєте клієнта. Ситуації бувають різні.

Так. Але як правило, завдяки досвіду та репутації клієнти покладаються на мое рішення. Тим більше що людину не цікавить задача  - "поставте мені драйверпак". Як правило це формулюється "встановіть мені нормальну систему + охфіс+ шоб фільми дивитися + що небудь ще". А як я це зроблю - яка йому різниця? Аби працювало та швидко й безпечно.

Подякували: leofun011